这是一个创建于 705 天前的主题,其中的信息可能已经有所发展或是发生改变。
在不做端口转发,以及修改默认 3389 端口号的基础上,是不是基本上可以认为足够安全了?
 |
1
ymmud 2022-12-03 23:00:02 +08:00
Zerotier 记得是自带加密得
|
 |
2
zhaojjxvi 2022-12-03 23:00:42 +08:00 via iPhone
我觉得可以 以前就这么干的
但速度感人 就换向日葵了 |
 |
3
Archeb 2022-12-03 23:02:07 +08:00
RDP 协议本身是支持 TLS 加密的,你如果安装了合法的域名证书就不会每次连接的时候都提示证书错误了。
所以从这个角度来说 RDP 连接以及其上的数据即使是在公网他也是安全的。 如果要从防止爆破的角度来说,如果没有暴露到公网,只在 ZeroTier 里面连接,确实足够安全了,都不需要修改 3389 端口。何况 ZeroTier 的数据传输也是加密过的,只要你 ZT 网内都是可信设备就是安全的。 |
 |
4
40EaE5uJO3Xt1VVa 2022-12-04 00:24:00 +08:00
是的
除非你的 zerotier 局域网内有其他设备被入侵了。 |
 |
5
smallthing 2022-12-04 02:43:19 +08:00
@Archeb 并不是 RDP 本身有时候存在溢出漏洞 也就是你直接发送 poc 到 3389 端口即可 不需要解密
|
 |
6
momocha 2022-12-04 03:17:47 +08:00 via iPhone
让 3389 只暴露在 zerotier 而且你的 zerotier 网内的机器都是可信的就是安全的
|
 |
7
LnTrx 2022-12-04 03:29:07 +08:00
不建议单纯依赖内网来保证安全
|
 |
8
documentzhangx66 2022-12-04 04:48:01 +08:00  1
从安全角度来说,只要 Zerotier 没被 0day ,那就可以。
为了防止 0day ,一般情况下,VPN Server 的监听端,是需要套 2 种加密方案的。 一旦通过加密方案,其实就没必要继续加密了,甚至可以反向连接。 举个例子: 1.公网有一台 VPN Server ,开放了所有端口。 2.真正的业务端口,是需要根据日期,进行 hash ,来计算出正确的端口号。 3.黑客不知道这个算法,连接了错误的端口号,直接被 Fall-1-Ban 。 4.黑客侥幸猜对端口号,下一步仍然要 密码 + 邮箱验证码 + 短信验证码。 5.黑客如果相对真正的端口号进行爆破,直接 Fall-2-Ban 。 |
|
9
Archeb 2022-12-04 09:56:51 +08:00 5
@smallthing 首先,我认为不应该把 0day 攻击考虑进来,如果要考虑这个的话,任何协议的任何实现都“不安全”。不管什么软件都需要持续的更新打补丁才能保证相对安全。
其次,这是 RDP 的实现有问题,而非 RDP 协议有问题。就像当年的 CVE-2014-0160 (心脏出血),这是 OpenSSL 这个 TLS 实现有问题,而不是 TLS 协议具有缺陷导致的。而除了微软 RDP ,市面上还有 xrdp 等第三方开源实现,楼主并没有指明是 Windows 上的 RDP 服务器实现。 (> Wikipedia:因为缺陷在于 OpenSSL 的实现,而不是 SSL/TLS 协议本身,所以除了 OpenSSL 之外的其他 TLS 实现方式,如 GnuTLS 、Mozilla 的网络安全服务( NSS )和 Windows 平台的 TLS 实现都不受影响) |
 |
10
shinichii OP 感谢几位认真回答……因为又开始居家办公,所以也就是想实现远程连单位 win 主机的目的,家有公网所以速度还可以,用 vnc 也不差,rdp 感觉体验更好。我额外又在防火墙规则里加了作用域限制了 ip ,如果没有 0day 或者内网被入侵,应该不用太担心了。
|
|
12
smallthing 2022-12-06 00:01:45 +08:00
@Archeb 说了半天不知道有何意义
你还是无法否认一个 RDP 放公网和一个 UDP 端口 放公网 RDP 被 POC 的概率就是高 |
 |
13
zanzhz1101 2022-12-06 07:47:04 +08:00
zerotier 开个私有网络不就行了,客户端需要手动允许入网的那种,总比公开的强
|
Select Language